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Eine emanzipatorische Sicherheitskultur 

Dies ist der Einleitungsartikel einer Artikelserie zum Thema Kommunikationssicherheit in 
antiautoritären politischen Zusammenhängen. Wir veröffentlichen die Beiträge jeweils in 
der Zeitschrift Gai Dao und auf unserem Blog www.it-kollektiv.com. 

Das IT-Kollektiv ist föderiertes Mitglied der FdA und Teil des Community-Projektes „IT- 
Kollektiv-Netzwerk“, das Kollektivbetrieben und Einzelpersonen aus dem IT-Bereich eine 
Plattform zur wirtschaftlichen und politischen Selbstorganisation bietet. 

^ Von: IT-Kollektiv 


In den vergangenen Jahren ist IT-Sicherheit zu einem 
recht prominenten Thema im Diskurs des öffentlichen 
Mainstreams geworden. Zum Einen wird journalis¬ 
tisch über Sicherheitslücken in 
Software, spektakuläre Hackeran¬ 
griffe und Geheimdienstaktivitä¬ 
ten berichtet. Zum Anderen 
treten zahlreiche NGOs und IT- 
Konzerne mit Ratgebern und 
Ähnlichem in Erscheinung. Of¬ 
fenbar fehlt es nicht an Inhalten 
zu diesem Thema. Warum also 
weitere Texte schreiben? 

Trotz der Präsenz des Themas, 
konnte sich weder im persönli¬ 
chen Technikgebrauch (#medien- 
kompetenz) noch im aktivistischen Umfeld eine „Good 
Practice“ etablieren. Scheinbar haben die zum Teil 
konträren Beiträge nicht zur Aufklärung, sondern eher 
zu einer Abwendung vom Diskurs geführt. Eine Ab¬ 
wendung, die sich einerseits im „alles Egal“ der Post- 
Privacy-Gefärbten manifestiert, die spät Facebook und 
Co. für sich entdeckt haben und andererseits in Zu¬ 
sammenhängen, die die neuen Technologien komplett 
verdammen und sich in eigene Kommunikationsbla¬ 
sen zurückziehen. 

Der permanente Nachrichtenstrom über Schwachstel¬ 
len und neue Tools scheint den Blick auf etwas ver¬ 
baut zu haben, das uns allen als Community einen 
Zugang zum Diskurs und eine Praxis liefern kann: Ei¬ 
ne umfassende Sicherheitskultur. Bevor also techni¬ 
sche Bausteine verschiedener Zielgruppen eine Rolle 
spielen können, gilt es, einen kulturellen Raum abzu¬ 
stecken. Dieser Ansatz entspricht unser horizontalen, 
antiautoritären Organisation und steht im Kontrast zu 


konventionellen Konzepten von Kontrolle, Überwa¬ 
chung, standardisierten Prozessen und Entscheidungs¬ 
wegen. 

Zunächst stellt sich die Frage, was 
eine Sicherheitskultur leisten 
muss: 

1. Sie soll uns vor Repression und 
Angriffen politischer Gegnerin¬ 
nen und wirtschaftlicher Ausbeu¬ 
terinnen schützen. 

2. Sie soll uns vor einer Steuerung 
unseres Denkens und Handelns 
durch Algorithmen und soge¬ 
nannte „KIs“ schützen 

3. Sie darf nicht zu einer Hierar- 
chisierung unserer Strukturen führen. 

4. Sie darf unsere Organisation nicht intranspa¬ 
rent und unzugänglich machen. 

5. Sie darf uns nicht aus politischen Prozessen 
isolieren. 

6. Sie darf Beteiligte nicht anhand ihres techni¬ 
schen Know-Hows selektieren. 

Für einen anarchistischen Zusammenhang erklären 
sich diese Anforderungen von selbst, eventuell ließen 
sie sich noch erweitern. Bei näherer Betrachtung oder 
spätestens bei der praktischen Umsetzung fällt auf, 
dass die Punkte 1+2 den Punkten 3-6 zuwider laufen. 
Dies liegt zum Einen im grundsätzlichen Widerspruch 
zwischen Transparenz und Teilhabe auf der einen und 
der Beschränkung des Kreises der Mitwissenden auf 
der anderen Seite. Zum Glück unterscheidet sich das 
für politische Teilhabe benötigte Wissen von jenem für 
Repression relevanten. Wenn Beispielsweise in einem 
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Protest ein Baugerät besetzt wurde, ist es wichtig den 
Raum zu schaffen Sinn und Durchführung dieser Ak¬ 
tion zu reflektieren. Das Wissen darüber, wer das 
Ganze wie durchgeführt hat, ist dagegen für die politi¬ 
sche Teilhabe unerheblich. 

Zum Anderen tragen eine Vielzahl existierender tech¬ 
nischer Sicherheitsmaßnahmen eine autoritäre oder 
auch kapitalistische Ideologie in sich. Dies zeigt sich 
in der Vielzahl zentraler Sicherheits- und Genehmi¬ 
gungssysteme organisatorischer wie technischer Na¬ 
tur. Das kapitalistische Element manifestiert sich im 
Konkurrenzkampf um den Markt des Sicherheitsbe¬ 
dürfnisses. Abwechselnd wird Hysterie vor "Cybercri- 
me" verbreitet und zahlreiche meist zweifelhafte 
Produkte angeboten. Wir sollen etwa auf unseren Ge¬ 
räten allerhand Software installieren oder unsere Pass¬ 
wörter in eine "sichere" Cloud laden, damit 
IT-Konzerne uns "schützen" können. 

Erst in den letzten Jahren wurde der Punkt 2 relevant. 
Traditionell stützte sich staatliche Herrschaft und die 
Sicherung privatwirtschaftlicher Privilegien auf eine 
Kontrolle wichtiger Großmedien. Dies gilt für autori¬ 
täre Regime ebenso wie für Demokratien und lässt 
sich gerade in den Großwetterlagen der Außenpolitik 
beeindruckend mitverfolgen, liegt aber außerhalb des 
Fokus dieses Artikels. Durch die Entwicklung der so¬ 
zialen Netzwerke sind die Prozesse der Meinungsbil¬ 
dung zeitweise entglitten. Seither wird die Kontrolle 
durch automatisierte Systeme in diesem Bereich wie¬ 
der stärker ausgebaut. Dabei geht es nicht wie früher 
in erster Linie um Zensur und Veröffentlichungsver- 
bote, sondern Algorithmen, die Informationen über 
Timelines, Vorschläge, verwandte Inhalte etc. verbrei¬ 
ten oder eben filtern. Die Funktionsweise dieser Algo¬ 
rithmen ist selten transparent. Dem*der Benutzerin 
wird der Vorteil suggeriert genau die Inhalte zu be¬ 
kommen, die sie interessieren. Unternehmen nutzen 
von Benutzerinnen erstellte Profile für Marketing¬ 
zwecke und Dritte können öffentliche Sichtbarkeit er¬ 
kaufen. Für die Steuerung unseres Denkens mittels 
Algorithmen müssen diese einerseits Kenntnis über 
unsere verschiedensten Daten erlangen und anderer¬ 
seits müssen wir deren Angebote nutzen. 

Um sich den genannten Anforderungen zu nähern, 
will ich einige Thesen aufstellen und erläutern. Diese 
wären ein erster Vorschlag, der sich über die Artikel¬ 


serie und eure Diskussionen vor Ort und Rückmel¬ 
dungen weiter ausbauen ließe. 

Thesen: 

1. Es gibt keine absolute Sicherheit 
Empfehlungen zu Sicherheit sind oft schon deshalb 
problematisch, weil sie nicht berücksichtigen vor wel¬ 
chen Angriffsszenarien sie eigentlich schützen sollen 
und den Schutzbedarf des zu sichernden Gegenstandes 
nicht bewerten. Daher gibt es keine absolute Sicher¬ 
heit, sondern lediglich einer angemessenen Risikobe¬ 
wertung folgende Schutzmaßnahmen. Eine auf 
absolute Sicherheit zielende Vorgehensweise stellt 
letztendlich den zu sichernden Gegenstand als ver¬ 
bleibendes Risiko selbst in Frage. Absolute Sicherheit 
in der IT ist Funkstille. 

2. Wer Sicherheit will, muss sich fragen wovor 
Die Schutzmaßnahmen sehen im Allgemeinen grund¬ 
sätzlich, je nach Angreifer*in und Angriffsszenario, 
verschieden aus. Wird bevorzugt Schutz vor unabhän¬ 
gigen Hacker*innen, anderen politischen Gruppen 
oder „Schurkenstaaten“ im Sinne der westlichen Auf¬ 
fassung gesucht, sind unter Umständen die großen IT- 
Konzerne und deren Angebote eine gute Grundlage 
für Sicherheit. Geht es allerdings darum, sich vor de¬ 
ren Datenhunger oder staatlichen Angriffen zu schüt¬ 
zen, ist die Nutzung dieser Angebote ein großes 
Risiko. Da hilft dann auch kein 100-stelliges Passwort 
und Zwei-Faktor-Authentifizierung am Google-Konto. 
Weiterhin besitzt jede*r Akteur*in eine Vielzahl ver¬ 
schiedener Angriffstechniken, die je einzeln zu erken¬ 
nen und zu untersuchen sind. 

3. Es geht immer um Vertrauen 

Das Leben in Gemeinschaft genau wie politische Ar¬ 
beit funktioniert nicht ohne Vertrauen und es gibt kei¬ 
ne Sicherheitskultur, die ohne Vertrauen leben kann. 
Um so wichtiger ist es, offen zu legen, wem wir in Be¬ 
zug auf was Vertrauen entgegenbringen. Bei IT wird 
diese Fragestellung leider sehr komplex. Da in unseren 
Zusammenhängen nur einige über das Know-How 
verfügen technische Systeme zu pflegen, vertrauen 
wir ihnen zumindest Meta-Daten und Verfügbarkeit 
von Infrastruktur an. Bei den heute gebräuchlichen 
Technologien allerdings meist auch Einsicht und Ver- 
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änderbarkeit der Inhalte. Wenn wir diese Tätigkeiten 
Menschen, die wir kennen, anvertrauen ist dies an 
sich kein Problem. Zum Schutz von uns und eben 
auch diesen Administrator*innen müssen wir uns dies 
aber vor Augen führen und entsprechend handeln. 

In der IT Praxis ist leider der Kreis der „Vertrauten“ 
kaum mehr überschaubar (weshalb sich für manche 
Dinge allgemein die IT-Nutzung nicht empfiehlt). 
Durch Nutzung von Cloud-Diensten vertrauen wir 
ggf. IT-Großkonzernen und deren Mitarbeiterinnen 
die Kontrolle über unsere Daten an. Diese Nutzung ist 
bei Smartphones ab Werk überhaupt nicht mehr ab¬ 
stellbar. Wir vertrauen den Programmierer*innen von 
Software (bei Open Source Software und Freier Soft¬ 
ware zumindest kontrolliert durch eine Tech-Commu- 
nity). Wir vertrauen den Paket-Betreuer*innen, die aus 
Quellcode Maschinencode generieren. Wir vertrauen 
der hierarchischen Struktur der SSL-Zertifizierungs- 
Autoritäten und dem System der Namensauflösung 
des Internets. Die Liste lässt sich fortführen. Je nach 
Schutzbedarf lässt sich der Kreis der Vertrauten zu¬ 
mindest eindämmen und gezielt selektieren. Häufig 
vergessen wird dabei, dass zusätzlich zu den techni¬ 
schen auch organisatorische Maßnahmen gehören. Et¬ 
wa die breite Wissensweitergabe an Gefährtinnen zur 
Nutzung ihrer Endgeräte im politischen und persönli¬ 
chen Kontext. 

4 . Direkt vor vermittelt; föderiert vor zentralisiert 
In unserer Sicherheitskultur gilt der alte Grundsatz die 
Zahl der Beteiligten auf das nötige Maß beschränkt zu 
halten. Das hat Konsequenzen für die Nutzung von 
IT-Lösungen. Idealerweise interagieren unsere Endge¬ 
räte direkt miteinander (Peer-2-Peer) ohne Beteiligung 
Dritter zur Datenvermittlung und Zertifizierung. Wir 
brauchen keine Server und keine „allmächtigen“ Ad- 
ministrator*innen. Dieser Ansatz ist jedoch nicht im¬ 
mer der Ideale, da er Probleme mit sich bringt. Einmal 
wird die Mandatierung von technischen „Expertin¬ 
nen“ dadurch nicht überflüssig (was riskant wäre), 
weil die Absicherung der Endgeräte eher noch wichti¬ 
ger wird und mehr Software auf den Clients instal¬ 
liert, gepflegt und aktuell gehalten werden muss. 
Technisch besteht bei Peer-2-Peer Netzwerken das 
Problem der Datenintegrität. Durch die nicht dauer¬ 
haft verfügbaren Einzelknoten bestehen Synchronisa¬ 


tionsprobleme, d.h. der Verbindungsaufbau zwischen 
den Knoten scheitert und es kann keine Kommunika¬ 
tion stattfinden. 



Wenn wir uns daher für einen vermittelten Ansatz 
entscheiden, sollten wir dezentralen (ggf. föderierten) 
Systemen den Vorzug geben. Dadurch können wir die 
Administration Vertrauten unserer Wahl überlassen 
und diesen ggf. auch das Mandat entziehen. Außer¬ 
dem sind dezentrale Systeme weniger Angriffen aus¬ 
gesetzt und potentiell verfügbarer. So kann 
beispielsweise der Staat den Server eines zentralisier¬ 
ten Messengers wie Signal oder einer Plattform wie 
linksunten Indymedia problemlos offline nehmen 1 . 
Würde er jedoch einen Mail-Anbieter wie Posteo 
plötzlich verbieten, könnten wir (wenn auch nicht 
über Posteo) weiterhin Emails versenden. 

5 . Sicherheit ist ganzheitlich und so stark wie ihr 
schwächstes Element 

Zum einen tritt IT-Sicherheit oft so sehr in den Vor¬ 
dergrund, dass klassisches Sicherheitsdenken vernach¬ 
lässigt wird. Nach wie vor werden Informant*innen 
eingesetzt, Räume abgehört, observiert und herumlie- 
gende Zettel gelesen. Zum Anderen wird beim Fokus 
auf eine Maßnahme vergessen, dass diese eventuell 
anders leicht umgangen werden kann. So kann sich 
leichtfertig etwa auf die starke Kryptografie eines 
Messengers verlassen werden ohne sich bewusst zu 
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sein, dass das Endgerät eines*einer Nutzerem leicht 
angreifbar ist oder deren Identität nicht gesichert ist. 

6. Die Sicherheitskultur umfasst unser ganzes Le¬ 
ben 

Sicherheitskultur hat nicht nur mit Computern zu tun. 
Sie dreht sich auch nicht nur um politische Aktivitä¬ 
ten, sondern umfasst unser ganzes Leben und entspre¬ 
chend muss es sich mit ihr auch leben lassen. 
Natürlich will manche*r allerhand Spaß mit Technik 
haben, aber dabei ist dann eben auf die Nutzung ver¬ 
schiedener Geräte oder virtueller Umgebungen und 
Identitäten zu achten. Auch sollte das persönliche Le¬ 
ben der Einzelnen eine Rolle in politischen Organisa¬ 
tionen spielen und der Umgang sozialen 
Konformitätsdruck und Tabus reduzieren. Bekanntlich 
wird die Vereinzelung von uns immer wieder als 
Druckmittel verwendet. Psychische und finanzielle 
Notlagen können ausgenutzt werden oder wir können 
mit evtl. Suchtproblemen oder sexuell nicht normati¬ 
vem Verhalten erpresst werden. 

7. Sicherheit ist nicht nur Geheimhaltung 

Oft wird Sicherheit mit Geheimhaltung von Informa¬ 
tionen gleichgesetzt. Allerdings besteht der Wert des 
zu schützenden Gegenstandes eben nicht nur aus de¬ 
ren informativem Gehalt, sondern auch aus dessen 
Nutz- und damit Verfügbarkeit. Er muss daher nicht 
nur vor Zugriffen geschützt werden sondern im Ge¬ 
genteil muss die legitime Zugreif- und Nutzbarkeit si¬ 
chergestellt werden. Verschiedene Angriffe zielen genau 
hierauf. Etwa Denial-of-Service-Attacken, das behördli¬ 
che Sperren von Diensten oder ganz klassisch das Verbot 
von Versammlungen oder Veröffentlichungen. 



8. Unsere Entscheidungen zu Sicherheitskultur 
sollen nicht anderen verunmöglichen, ihre Si¬ 
cherheitskultur zu leben 

Wir können uns entscheiden, unsere Termine auf Fa- 
cebook zu veröffentlichen, um viele Menschen zu er¬ 
reichen, obwohl es potentiell offenlegt, wer unsere 
Veranstaltungen besucht. Oder wir können Twitter be¬ 
nutzen, um über unsere Aktion zu informieren. Falls 
wir aber nicht gleichzeitig andere mögliche Kanäle 
nutzen, wie die Stadtteilzeitung, einen online Termin¬ 
kalender einer netten Gruppe oder ein freies Micro- 
bloggingmedium, dann zwingen wir Andere, 
Technologien zu nutzen, die wir (sicherheits-)politisch 
eigentlich ablehnen. 

9. Sicherheit ist das Gegenteil von Paranoia 

Paranoia ist ein Zustand der Lähmung Einzelner oder 
ganzer Zusammenhänge. Sie könnte als ein erfolgrei¬ 
cher Angriff auf unsere Strukturen bewertet werden. 
In der Paranoia fokussieren wir uns nicht mehr auf 
politische Ziele, sondern auf Geheimhaltung. Angst 
und Misstrauen verunmöglichen gemeinsame Organi¬ 
sierung oder eine sachliche Einschätzung unseres 
Handelns. ■ 

Endnote: 

1 Dies kann auf technischem Wege erfolgen wie im Falle Te- 
legram im Iran oder mittels rechtlicher Repressionsandro¬ 
hungen wie im Falle Linksunten. 

Quelle: https://www.theverge.com/20 18/1/2/16841292/iran- 
telegram-block-encryption-protest-google-signal 
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